Então comprei um Cisco ASA e estou tentando fazer com que duas interfaces se comuniquem totalmente entre si. Outro técnico aqui do trabalho que sabe mais diz que para isso acontecer preciso de uma licença security plus e meu ASA tem licença base. Isso é necessariamente verdade? Também estou tendo problemas para conectar o SSH da Internet ao meu ASA. Isso também poderia estar sob minha licença atual? Olhando a documentação da Cisco no meu ASA, não é tão informativo, é mais uma visão geral rápida.
Muita ajuda apreciada!
ATUALIZAR
Configuração ASA atual http://pastebin.com/WSz8wNNv
Responder1
Por padrão, os ASAs não permitem que o tráfego do nível de segurança entre em outra interface do mesmo nível de segurança. Este é o seu principal problema. same-security-traffic permit intra-interface
comando é necessário.
Uso: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
As ACLs ALLOW_WIRED
e ALLOW_WIRELESS
são definidas, mas não aplicadas a nenhuma interface. Além disso, recomendo alterar as ACLs de ACLs padrão para ACLs estendidas. As ACLs estendidas permitem o controle do tráfego por meio de origem e destino, em vez de apenas pela origem do tráfego.
Mudanças recomendadas: (Atualizado em 17/02/2017: Atualizando as ACLs para permitir acesso de saída irrestrito, conforme solicitado)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
Observe que, embora a primeira regra em cada ACL seja supérflua, ela foi adicionada para fornecer algum contexto adicional sobre como a regra é usada.
Teste: Todas as saídas devem resultar em "Up".
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2